Som arbejdsgiver kan du bruge oversigten som god hjælp til at opfylde dine forpligtelser over for medarbejdere og jobansøgere, når du behandler deres personoplysninger i forbindelse med ansættelse og rekruttering.
Oversigten giver nemlig et godt og hurtigt overblik over reglerne om de registreredes rettigheder i Databeskyttelsesforordningen (GDPR), herunder
Du finder oversigten her
Byretten i Helsingør har for nyligt afsagt en dom, hvor en arbejdsgiver blev dømt til at betale en bøde på 50.000 kr. i en sag, hvor en stjålen arbejdscomputer med personoplysninger ikke var beskyttet med kryptering i overensstemmelse med databeskyttelsesforordningen (GDPR).
Arbejdsgiveren levede dermed ikke op til reglerne i databeskyttelsesforordningen om passende sikkerhedsforanstaltninger og blev idømt en bøde i overensstemmelse med Datatilsynets indstilling i sagen.
Datatilsynet var blevet opmærksom på sagen, da arbejdsgiveren havde anmeldt et brud på persondatasikkerheden i forbindelse med tyveri af en HR-medarbejders arbejdscomputer, hvorpå der lå oplysninger af bl.a. følsom og fortrolig karakter om ca. 1.600 ansatte hos arbejdsgiveren.
Arbejdsgiveren havde tilladt behandling af personoplysninger lokalt på de enkelte arbejdscomputere uden om den Citrix-løsning, som ellers blev anvendt til sagsbehandling, da Citrix-løsningen ofte gik ned, hvilket besværliggjorde arbejdet på de mobile arbejdspladser. Uden beskyttelse af computeren med kryptering udgjorde tabet af personoplysninger en høj risiko for de 1.600 ansattes rettigheder. Derfor var kryptering nødvendig af hensyn til persondatasikkerheden.
Det er en udbredt problemstilling, og der er også flere sager på vej ved domstolene.
Du kan læse mere om dommen på Datatilsynets hjemmeside
HR-jura Community – din livline
Kæmper du også med at sortere i informationsstrømmen om ny lovgivning, retspraksis og tendenser inden for HR-jura og samtidig få løst dine mange arbejdsopgaver?
Prøv det og se, hvor stor en forskel, det kan gøre for dig. Som medlem af HR-jura Community får du løbende: HR-juridisk opdatering af ny lovgivning og retspraksis, sparring og erfaringsudveksling og hjælp til at få løst dine arbejdsopgaver. Du kan læs mere og tilmelde dig her
I en ny afgørelse fra Datatilsynet, har tilsynet udtalt alvorlig kritik af en arbejdsgiver, der sender en mail med fortrolige oplysninger om en medarbejder til en hel afdeling.
I den konkrete sag havde en medarbejder klaget over sin arbejdsgiver til Datatilsynet, fordi arbejdsgiveren havde sendt en mail til hele medarbejderens afdeling dvs. ca. 50 medarbejdere om, at der var visse opgaver, medarbejderen ikke kunne varetage, og at dette skyldtes, at medarbejderen var i fertilitetsbehandling.
Medarbejderen havde selv telefonisk orienteret arbejdsgiveren herom, men det betød ikke, at hun havde givet samtykke – efter de strenge krav i Databeskyttelsesforordningen – til at disse oplysninger blev videregivet til kollegaerne.
Du kan læse afgørelsen her
Husk at klæde jeres ledere og medarbejdere på, så de er opmærksomme på altid at dataminimere og kun at behandle personoplysninger, hvis det er Need to Know og ikke Nice to Know. Det gælder navnlig, når der sendes eller videresendes mails med fortrolige eller følsomme personoplysninger. Det går for stærkt nogle gange med at trykke på send-knappen.
Ønsker du at blive opdateret hurtigt og kort inden for HR-jura og GDPR, så tilmeld dig mit nyhedsbrev her https://lnkd.in/eBR-tCj
Du er altid velkommen til at kontakte mig uforpligtende på 23 91 27 27 eller na@naydin.dk
Ja, det må den tidligere arbejdsgiver godt, hvis indsigtsbegæringen er omfattende, og den tidligere medarbejder ikke vil specificere sin begæring.
Det er et spørgsmål, som Datatilsynet har taget stilling til for nyligt.
I en helt ny afgørelse fandt Datatilsynet nemlig ikke grundlag for at tilsidesætte en tidligere arbejdsgivers afvisning af en tidligere medarbejders begæring om indsigt under henvisning til, at begæringen var overdreven.
Den tidligere medarbejder havde klaget til Datatilsynet, da dennes tidligere arbejdsgiver ikke havde efterkommet begæringen om indsigt i al kommunikation, hvori den tidligere medarbejder var nævnt.
Arbejdsgiveren havde forsøgt at få den tidligere medarbejder til at specificere sin begæring, da det ønskede materiale efter flere års ansættelse var omfattende. Dette blev dog afvist af den tidligere medarbejder.
Datatilsynet fastslog i afgørelsen, at en dataansvarlig kan afslå at give en registreret indsigt i oplysninger om breve, notater og e-mails mv., som er underskrevet af eller sendt til den registrerede i forbindelse med vedkommendes opgavevaretagelse, med henvisning til, at henvendelsen er overdreven.
Du kan både se en video og læse mere om Datatilsynets afgørelse her
Ønsker du at blive opdateret hurtigt og kort inden for HR-jura og GDPR, så tilmeld dig mit nyhedsbrev her https://lnkd.in/eBR-tCj
Du er altid velkommen til at kontakte mig uforpligtende på 23 91 27 27 eller na@naydin.dk
Det blev jeg sidst spurgt om, da jeg underviste ledere i HR-jura i sidste uge.
Mit svar var og fortsat er, at det som udgangspunkt kræver samtykke fra den tidligere medarbejder.
Knap en uges tid efter, den 24. januar 2022 offentliggjorde Datatilsynet en ny afgørelse, som understøtter mit svar foroven.
I afgørelsen udtaler Datatilsynet kritik af en arbejdsgivers brug af billeder af en tidligere medarbejder i en markedsføringsvideo, som blev offentliggjort på Facebook. Du kan læse afgørelsen på Datatilsynets hjemmeside her
Du kan læse meget mere om brug af både nuværende og tidligere medarbejderes billeder i Datatilsynets vejledning om persondatabeskyttelse i forbindelse med ansættelsesforhold her
Arbejdsgiveren skal opfylde sin oplysningspligt efter databeskyttelsesforordningen, således at jobansøgere og medarbejdere er oplyst om, at arbejdsgiveren behandler personoplysninger om dem i forbindelse med rekruttering og ansættelse.
Der er ret omfattende krav til, hvordan arbejdsgiveren indholdsmæssigt skal opfylde sin oplysningspligt efter databeskyttelsesforordningen.
Datatilsynet har udarbejdet en skabelon, som arbejdsgiveren kan bruge for at opfylde sin oplysningspligt. Du kan finde skabelonen, som bilag A og B i Datatilsynets vejledning om de registreredes rettigheder, se link til vejledningen forneden.
Der er dog ikke formkrav til, hvordan arbejdsgiveren opfylder sin oplysningspligt. En måde at opfylde oplysningspligten på er ved at udarbejde en ”privatlivspolitik”. Det afgørende er, at indholdet af den skrevne tekst til opfyldelse af oplysningspligten efter forordningen, lever op til forordningens krav om oplysningspligt samt kravet om gennemsigtighed dvs. at det skal være nemt at finde og forstå teksten for jobansøgere og medarbejdere.
Du kan læse Datatilsynets vejledning om de registreredes rettigheder, herunder oplysningspligten her
Du kan læse Datatilsynets vejledning om databeskyttelse ved ansættelsesforhold her
Blive medlem af et uformelt og fortroligt netværk, hvor du løbende kan få både juridisk og praktisk hjælp inden for HR-jura – Så du kan komme i gang med, videre med eller afslutte din opgave?
Se min video og læs mere her
Datatilsynet har for nyligt i slutningen af maj 2021 på deres hjemmeside offentliggjort en side med spørgsmål og svar om, hvornår man skal slette oplysninger om de ansøgere, som ikke bliver tilbudt en stilling.
På siden kan du blandt andet læse:
Du kan læse mere på Datatilsynet om
Din leder beder dig undersøge, om virksomheden skal have en whistleblowerordning, som medierne skriver så meget om.
Spørgsmålene er mange – kom med i HR-jura Community, løs dine udfordringer sammen med andre HR-professionelle og undgå dyre faldgruber.
Du tilmelder dig ved at sende mig en mail på na@naydin.dk og skriver ”Tilmelding til HR-jura Community” i emnefeltet.
Der er kun åbent for tilmelding til udgangen af april måned, og der er kun plads til max 20 deltagere. Du kan læse mere her om HR-jura Community – din succes er min succes.
Læs min artikel “Skal din virksomhed etablere en whistleblowerordning“
“Som leder er jeg opmærksom på, at jeg skal beskytte personfølsomme oplysninger om mine medarbejdere efter databeskyttelsesforordningen. Men forordningen gælder jo ikke, når vi bare sender mails til hinanden med almindelige personoplysninger som navn, mailadresse, telefonnummer, mm.“
Mange ledere glemmer, at databeskyttelsesforordningen og databeskyttelsesloven gælder både ved behandling af følsomme og almindelige personoplysninger, og at ledere er nøglepersoner, som skal klædes på for at sikre overholdelsen af databeskyttelsesreglerne.
Lederen skal altid sikre sig kun at behandle personoplysninger, hvis det er sagligt og proportionalt, og der er en behandlingshjemmel. Herudover skal lederen sikre sig, at sikkerheden ved persondatabehandling er høj – jo følsommere og fortroligere personoplysninger des højere sikkerhed, fx skal al mailkorrespondance, som indeholder følsomme eller fortrolige personoplysninger krypteres.
Herudover glemmer ledere også, at de ved referencer – både når de modtager, og når de udtaler sig som reference – skal sikre sig, at databeskyttelsesreglerne er overholdes, herunder at der er indhentet et skriftligt samtykke (frivilligt, specifikt, informeret og utvetydigt) fra jobansøgeren.
Brandsluk ikke, forebyg i stedet – klæd lederen på, skab en bedre ledelseskultur og spar penge.
LÆS MIT HR-JURIDISK TIP 11 TIL LEDEREN: PAS GODT PÅ PERSONOPLYSNINGER – OGSÅ VED REFERENCER
KLIK HER FOR AT KØBE ADGANG TIL MIT FOREDRAG (NR. 6) OM DATABESKYTTELSE OG HR
Læs også min artikel Persondataret og HR – 9 typiske faldgruber
Væksthus for Ledelse har torsdag den 4. februar 2021 udgivet min artikel om de 14 personalejuridiske spilleregler for ledere inden for det offentlige.
Væksthus for Ledelse er et samarbejde mellem Kommunernes Landsforening, Danske Regioner samt Forhandlingsfællesskabet og arbejder målrettet og systematisk mod stadig bedre ledelse i kommuner og regioner. Læs mere om væksthus for Ledelse her Formål og baggrund – Lederweb
Du kan læse min artikel forneden:
Undgå brandslukning: Få styr på 14 personale-juridiske spilleregler – Lederweb
naydin.dk 